I. Tentang COSO
The Committee of
Sponsoring Organizations of the Treadway Commission’s (COSO) didirikan pada
tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :
Financial Executives International (FEI)
- The American Accounting Association (AAA)
- The American Institute of Certified Public Accountants (AICPA)
- The Institute of Internal Auditors (IIA)
- The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan
keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan
corporate governance.”
Untuk
menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai
sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah
diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja
pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para
eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan
lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas
pengendalian internal mereka.
II. Kerangka Kerja Pengendalian Internal
(Internal Control-Integrated Framework)
Dua tujuan utama dari
laporan COSO adalah :
(1) untuk menetapkan definisi umum pengendalian internal
yang melayani berbagai pihak
(2) menyediakan standar terhadap organisasi
yang dapat menilai sistem pengendalian dan menentukan cara untuk
meningkatkan/memperbaiki sistem tersebut.
Definisi Pengendalian
Internal COSO
“suatu proses,
yang dipengaruhi oleh dewan komisaris,
manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk
memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan dalam
beberapa kategori”.
Kategori-kategori
dalam pencapaian tujuan Pengendalian Internal
- Efektivitas dan efisiensi operasi
- Keandalan laporan keuangan
- Kepatuhan terhadap hukum dan peraturan yang berlaku
Laporan ini
menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari
manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian
seharusnya dibentuk didalam kegiatan operasi.
Definisi COSO
Suatu proses yang
dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable
assurance mengenai:
- Efektifitas dan efisiensi operasional
- Reliabilitas pelaporan keuangan
- Kepatuhan atas hukum dan peraturan yang berlaku
COSO menekankan
Pengendalian Internal sebagai suatu “proses” yang merupakan bagian tidak
terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business
activities). Untuk tujuan pelaporan manajemen kepada publik.
Pengendalian
Internal terkait penjagaan asset dari pengambilan, penggunaan, atau
penghilangan yang tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personil
lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan
yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan,
penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset entitas
sehingga dapat memberikan pengaruh/efek yang material terhadap laporan
keuangan.
Komponen yang saling terkait dalam internal control
menurut COSO framework, yaitu:
COSO mengidentifikasi Sistem Pengendalian Internal yang
efektif meliputi lima komponen yang saling berhubungan untuk mendukung
pencapaian tujuan entitas, yaitu:
(a) Lingkungan Pengendalian (Control
Environment)
Pondasi dari komponen lainnya dan
meliputi beberapa faktor diantaranya :
Integritas
dan Etika
- Komitmen untuk meningkatkan kompetensi
- Dewan komisaris dan komite audit
- Filosofi manajemen dan jenis operasi
- Kebijakan dan praktek sumber daya manusia
COSO
menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi
manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari
penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan
pengaruhnya terhadap laporan keuangan.
(b)
Penilaian Risiko (Risk Assessment)
Terdiri dari
identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan
pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi,
persaingan, dan perubahan ekonomi. Factor internal diantaranya kompetensi
karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim
informasi. Sedangkan Analisis Risiko dilakukan dengan mengestimasi
signifikansi risiko, menilai kemungkinan terjadinya risik, dan bagaimana
mengelola risiko tersebut.
(c)
Aktivitas Pengendalian (Control Activities)
Terdiri dari
kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. Aktivitas Pengendalian meliputi review terhadap sistim pengendalian,
pemisahan tugas, dan pengendalian terhadap sistim informasi.
Pengendalian
terhadap sistim informasi meliputi dua cara :
General
controls, mencakup
kontrol terhadap akses, perangkat lunak, dan system development.
Application
controls, mencakup
pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi untuk
menjamin completeness, accuracy, authorization and validity dari proses
transaksi yang terjadi.
(d)
Informasi dan komunikasi
Sistem yang
memungkinkan orang atau entitas, memperoleh dan menukar informasi yang
diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya dan
adanya jalan untuk dapat mengakses informasi dari dalam dan luar, dengan
mengembangkan strategi yang potensial dan sistem terintegrasi, serta perlunya
data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus
kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan
informasi pesaing.
(e)
Pengawasan (Monitoring)
Sistem
pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan
untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui
aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi
dari keduanya, melalui aktivitas yang berkelanjutan dan melalui evaluasi yang
ditujukan terhadap aktivitas atau area yang khusus.
Di tahun
2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated
Framework’, sebagai pengembangan COSO framework di atas.
Dijelaskan
ada 8 komponen dalam Enterprise Risk Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan
Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat
mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam
pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah
proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi
perusahaan dan konsisten dengan risk appetite-nya.
3.
Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko
dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan
strategi atau tujuan manajemen.
4. Penilaian
Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood)
dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons
Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi,
mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih
sesuai dengan toleransi dan risk appetite.
6. Kegiatan
Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan
efektif.
7. Informasi
dan Komunikasi (Information and Communication), Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8.
Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.
Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan
terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Fokus utama
COSO menyatakan
Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku
kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis
entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO
menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari
pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu
tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada
saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar
menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian
Internal
COSO menjelaskan
bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi
Pengendalian Internal. COSO merekomendasikan kepada personil yang
mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan
langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus
penyampaian informasi.